Hallo ihr Experten,


Ich habe mir einen MBR rootkit/sinowal eingefangen und bekomme ihn nicht aus dem MBR. Auch mit MBR.exe von GMER schaffe ich es nicht den MBR auszulesen oder zu fixen.

die ausgabe von mbr.exe ist immer error reading MBR

ich habe auch schon die Forensuche bemüht, habe es aber leider nach den angegebenen hilfen den MBR zu reinigen.

hier eine Liste der sachen die ich schon ausprobiert habe:

- knoppicilin (hat zwar zwei Viren gefunden, aber nichts im MBR)

- gmer.exe (damit hab ich den rootkit im MBR gefunden)

- die Datei die GMER mit "malicios code" bezeichnete habe ich bei VirusTotal hochgeladen

- VirusTotal zeigte an, dass es entweder ein sinowal oder ein MBR rootkit ist

sorry das ich keine logfiles poste, aber seit ich den sinowal/MBR rootkit gefunden habe, mein E-mail account gehackt wurde, mein PC eine dauerhafte belastung von etwa 50 - 60% hat (normalerweise 10 - 20%) und kein Virenscanner mehr ein update machen konnte traue ich mich nicht mehr mit dem infizierten Rechner ins Internet zu gehen.

Ich habe bereits sämtliche passwörter geändert und zum glück habe ich kein Onlinebanking mit diesem PC betrieben.

Ich werde den PC sowiso neu aufsetzen, aber ist dann auch der rootkit im MBR weg?

vielen Dank schon mal im Vorraus

K3KS

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code: Alles auswählenAufklappen

ATTFilter

deine Logfile
         

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


schritt 1

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

• Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
• Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
• Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
• Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

schritt 2

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

schritt 3

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Zitat:

Zitat von K3KS

Ich werde den PC sowiso neu aufsetzen, aber ist dann auch der rootkit im MBR weg?

Zitat:

Zitat von Larusso

Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.
.
.
.
.
.
.

Er sagt eigentlich ganz deutlich dass er gar nicht bereinigen will und stellt noch eine wichtige Frage.

Definitiv nein!

Hier mal ein Vorschlag:

Zitat:

Um diesen Fehler beheben zu können legen Sie bitte die Original Betriebssystem-CD Ihres PC´s in das CD/DVD Laufwerk und starten Sie von der CD. Sollte dieses nicht funktionieren und obige Meldung immer wieder erscheinen, so müssen Sie vorher im Bios die Startreihenfolge Ihre Laufwerke anpassen.

Wählen Sie nach dem Start der CD in der ersten Anzeige die Möglichkeit “R” und anschließend “K” für das Starten der Wiederherstellungskonsole aus.

Danach geben Sie bitte auf dem DOS-Prompt den Befehl

“fixmbr”

ein. Danach werden die Bootdaten repariert und der PC sollte nach dem Neustart wieder ordnungsgemäß starten.

Sollte der PC dann immer noch nicht ordnungsgemäß starten, so sollten Sie die Bootdateien komplett neu erzeugen lassen. Dazu wieder von der CD starten und die Wiederherstellungskonsole starten, anschließend den Befehl

“fixboot c:”

eingeben.

Danach sollten die Probleme behoben sein.

Für hartnäckige Fälle helfen auch Tools der Hersteller der HDD's.

Danke für die Antwort,

habs hinbekommen

danke für die Hilfe

K3KS